23 декабря 2015 года, чуть за полдень по киевскому времени. Канун католического Рождества. Сотрудники трёх украинских энергораспределительных компаний — Прикарпатьеоблэнерго и двух соседних — заняты обычной предпраздничной рутиной. Никто не подозревает, что в их сети уже почти полгода живут чужие.

В 15:35 диспетчер одной из подстанций видит то, что не должен видеть никогда: курсор на экране SCADA-системы двигается сам. Без его рук. Он тянется к мыши, чтобы перехватить управление — курсор уже не слушается. Кто-то методично, один за другим, открывает выключатели на десятках подстанций. Свет гаснет в домах 230 000 жителей двух областей Украины.

Пока диспетчеры пытаются понять, что происходит, в трубках их телефонов раздаются звонки — сотни звонков подряд. Это не встревоженные жители. Это автоматический скрипт, который специально завалил call-центр компании фейковыми вызовами, чтобы настоящие клиенты не могли сообщить об отключении и получить ответ.

ПОЧЕМУ ЭТО ИСТОРИЧЕСКОЕ СОБЫТИЕ

До 23 декабря 2015 года ни одна кибератака в мире не отключала электричество реальным людям. Stuxnet ломал центрифуги — но это были промышленные машины, а не дома обычных граждан. Атака на украинскую энергосистему стала первой публично подтверждённой кибератакой, погасившей свет в жилых кварталах.

Группировка, стоящая за атакой, получила имя Sandworm — те же хакеры, которых спустя полтора года свяжут с NotPetya. Атрибуция указывает на подразделение Главного управления Генштаба ВС РФ (ГРУ), специализирующееся на кибероперациях.

// ЧТО ТАКОЕ SCADA

Supervisory Control and Data Acquisition — системы диспетчерского управления, через которые операторы дистанционно следят и управляют промышленным оборудованием: подстанциями, насосами, заводскими линиями. Захват контроля над SCADA означает физическое управление реальной инфраструктурой — буквально щёлкать выключателями на расстоянии в сотни километров.

ГОД ПОДГОТОВКИ ДО ОДНОГО ЩЕЛЧКА

Самым пугающим в этой атаке оказалось не оборудование, а терпение. По данным расследования SANS и E-ISAC, хакеры провели внутри сетей энергокомпаний месяцы скрытой разведки — изучали топологию подстанций, находили учётные данные операторов, разбирались в том, какое программное обеспечение для удалённого доступа используется (Famatech Radmin), и буквально учились нажимать те же кнопки, что и настоящие диспетчеры.

// ХРОНОЛОГИЯ ОДНОЙ АТАКИ — 23 ДЕКАБРЯ 2015
ШАГ 01
Спирфишинг — точка входа за месяцы до атаки
Сотрудникам энергокомпаний рассылают документы Word с вредоносными макросами от имени украинского парламента. Открытие файла устанавливает троян BlackEnergy3.
spear-phishing → malicious macro → BlackEnergy3
ШАГ 02
Захват легитимного ПО удалённого доступа
Хакеры получают учётные данные для Radmin — программы, которую операторы используют для удалённого управления SCADA-системами. Теперь они входят как «свои».
stolen Radmin credentials → legitimate remote access
ШАГ 03
Синхронное открытие выключателей
В 15:35 хакеры одновременно отключают десятки подстанций в трёх энергокомпаниях. Время выбрано умышленно — конец рабочего дня, смена дневных диспетчеров на ночных, праздничная неразбериха.
~30 substations → simultaneous breaker opening
ШАГ 04
DDoS на телефонные call-центры
Параллельно — атака на телефонные системы компаний. Тысячи фальшивых звонков блокируют линии, чтобы реальные клиенты не могли сообщить об отключении.
telephony DoS → delayed incident reporting
ШАГ 05
KillDisk — уничтожение следов
Вредоносный KillDisk стирает данные на серверах, делая системы частично неработоспособными даже после восстановления питания. Операторам пришлось вручную ехать на подстанции и щёлкать рубильники руками.
KillDisk wiper → manual recovery required

Электричество вернулось через 1–6 часов — но не благодаря автоматике. Операторам пришлось физически приезжать на подстанции и включать рубильники руками, потому что удалённое управление было скомпрометировано и недоступно.

«Сильнейшая способность атакующих заключалась не в выборе инструментов, а в умении проводить долгосрочную разведку, необходимую для изучения среды и исполнения высокосинхронизированной многоэтапной операции.»

— SANS / E-ISAC, отчёт по анализу атаки на украинскую энергосистему, март 2016

2016: ВТОРОЙ РАУНД, БЕЗ ЛЮДЕЙ ЗА КЛАВИАТУРОЙ

Ровно через год, 17 декабря 2016 года, Sandworm нанёс новый удар — на этот раз по подстанции передающего уровня в Киеве. Свет погас всего на час и затронул лишь пятую часть города — куда меньше, чем в 2015-м. Но специалисты по безопасности пришли в ужас не от масштаба, а от инструмента.

2015 · BLACKENERGY
Хакеры управляли атакой вручную, в реальном времени, через захваченный удалённый доступ. Каждое действие — результат живого решения человека за клавиатурой.
2016 · INDUSTROYER
Специально написанное вредоносное ПО (также известное как CrashOverride) автоматизировало всю атаку. Малварь сама «разговаривала» на родных протоколах энергосистем — без участия человека на этапе исполнения.

Это принципиально иной уровень угрозы: Industroyer — первый известный вредоносный код, написанный специально для прямого взаимодействия с промышленными протоколами электросетей (IEC-101, IEC-104, IEC 61850). Атака 2015 года была управляемым вручную вторжением. Атака 2016-го — это уже почти автономное цифровое оружие, заточенное конкретно под энергоинфраструктуру.

ХРОНОЛОГИЯ

~Май 2015
Первые фишинговые письма
Спирфишинг-кампания против сотрудников трёх украинских энергокомпаний. BlackEnergy3 устанавливается на машинах внутри корпоративных сетей.
Май–декабрь 2015
Месяцы скрытой разведки
Хакеры изучают сетевую топологию, крадут учётные данные, разбираются в SCADA-системах конкретных подстанций. Никаких признаков взлома не заметно.
23 декабря 2015, 15:35
Синхронная атака на 30 подстанций
230 000 человек без электричества на 1–6 часов. Параллельная DDoS-атака на call-центры. Первая публично подтверждённая кибератака на энергосистему в истории.
Январь–март 2016
Расследование SANS/E-ISAC
Детальный технический анализ публикуется для индустрии. Атрибуция указывает на Sandworm и связь с российскими госструктурами.
17 декабря 2016
Industroyer атакует Киев
Подстанция передающего уровня. Пятая часть Киева без света на час. Впервые в реальной атаке используется специализированная малварь под протоколы энергосетей.

МАСШТАБ

// УКРАИНСКАЯ ЭНЕРГОСИСТЕМА: ЦИФРЫ
Без света (2015)
230 000 чел.
Длительность (2015)
1–6 часов
Подстанций отключено
~30
Часть Киева без света (2016)
~1/5 города

ПОЧЕМУ ЭТО ВАЖНО ДЛЯ ВСЕГО МИРА

Украина стала испытательным полигоном. Аналитики единодушны: то, что было опробовано на украинской энергосистеме, рано или поздно будет применено где-то ещё. Уже в октябре 2022 года, по данным Mandiant, Sandworm нанёс новый удар по энергоинфраструктуре украинского города — на этот раз синхронизировав кибератаку с массированным ракетным обстрелом, используя 84 крылатые ракеты и 24 беспилотника как информационное прикрытие для цифровой операции.

Это уже не отдельная кибератака — это элемент гибридной войны, где цифровое оружие работает в одной связке с физическим.